Datenschutz-Konferenz: Hohe Anforderungen an Videokonferenzsysteme.

0

Angemessener Schutz persönlicher Daten
Grünes Licht für Open-Source-Software
Dienstleistungsanbieter und “fertige” Online-Dienste
Informierte und freiwillige Zustimmung oft zweifelhaft
Problem Home Office – Übertragung von Bild oder Ton

Unternehmen, Behörden und andere Organisationen können auch in Zeiten der Coronavirus-Pandemie nicht ohne weiteres weit verbreitete Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx nutzen.

In einem am Freitag veröffentlichten Orientierungsleitfaden empfehlen Datenschutzbeauftragte des Bundes und der Bundesstaaten, relevante Dienste von US-Anbietern vor der Nutzung “sorgfältig zu prüfen”.

Die Datenschutzkonferenz des Bundes und der Länder hat einen Orientierungsleitfaden für Videokonferenzdienste veröffentlicht.

Der Spielraum für US-Lösungen ist gering.

Wer sich beim Datenexport auf die alternativen Standardvertragsklauseln beruft, muss “vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf den behördlichen Zugang und die Rechtsschutzmöglichkeiten der Betroffenen analysieren”, erläutern die Aufsichtsbehörden.

Werden Defizite festgestellt, “sind zusätzliche Massnahmen notwendig”, und die Übermittlung muss gegebenenfalls unterbleiben.

“Die grössten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Sitz in den USA und verarbeiten die Daten dort”, stellt die Datenschutzkonferenz (DSK) in ihrem Handbuch fest.

Nachdem der Europäische Gerichtshof (EuGH) vor kurzem den transatlantischen Datenschutzschild für ungültig erklärt hat, steht dieses Instrument jedoch nicht mehr zur Verfügung, um einen angemessenen Schutz der in die USA übermittelten persönlichen Daten zu gewährleisten.

Die DSK erarbeitet nun auch die beste Möglichkeit, Konferenzdienste selbst zu betreiben, zum Beispiel mit Open-Source-Software.

Die Verantwortlichen müssten dann aber auch “über ausreichende technische und personelle Kapazitäten für Betrieb und Wartung verfügen und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen”.

Dies könnte für kleinere Institutionen eine Herausforderung darstellen.

Zuvor waren die führenden Systeme aus Übersee bereits bei einem kurzen Test der Berliner Datenschutzbeauftragten Maja Smoltczyk durchgefallen.

Dagegen gab die Controllerin grünes Licht für kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet, wie etwa den Dienst von Netways oder sichere Videokonferenzen.

de.

Positiv bewertete sie auch die Tixeo-Cloud, BigBlueButton-Instanzen von Werk21 und Messenger Wire.

Laut DSK seien noch weitere Analysen erforderlich, um im Lichte der EuGH-Rechtsprechung “konkretere Aussagen” über zusätzliche Schutzmaßnahmen treffen zu können, so die DSK weiter.

Die gesonderte Prüfungspflicht gilt auch dann, wenn der Vertragspartner eine europäische Tochtergesellschaft eines US-Unternehmens ist oder wenn europäische Anbieter ihrerseits personenbezogene Daten in die USA übermitteln.

Die Prüfer befürchten, dass es nicht weniger kompliziert wird, wenn institutionelle Nutzer auf einen “fertigen” Online-Dienst zurückgreifen.

“Der Kontrolleur muss die Einhaltung der Datenschutzgrundsätze durch die Auswahl eines geeigneten Anbieters sicherstellen” sowie dem Anbieter entsprechende Anweisungen geben “und eigene Vorkehrungen treffen”.

Zu diesem Zweck muss er die entsprechenden Verträge, Nutzungsbedingungen und Sicherheitszertifikate, die vom Verarbeiter vorgelegt werden, sowie die Datenschutzerklärung des Verarbeiters überprüfen.

Für den Fall des Betriebs durch einen externen Dienstleister, was ebenfalls möglich ist, heisst es in der Analyse, dass “die verwendete oder den Teilnehmern angebotene Software auf Datenabflüsse an den Hersteller und Dritte geprüft werden muss”.

Dies würde auch Diagnose- und Telemetriedaten umfassen.

Entsprechende “Telefonanrufe nach Hause” müssen “verhindert werden, es sei denn, es gibt dafür eine rechtliche Grundlage”.

Soweit Mitarbeiter aus ihrem Home-Office teilnehmen, stellt das Dokument fest, dass sich das Problem ergibt, dass andere Teilnehmer “ohne Zustimmung der Mitarbeiter keinen Einblick in ihre Privatsphäre durch Bild oder Ton erhalten dürfen”.

Der Arbeitgeber muss daher neutrale Hintergrundinformationen zur Verfügung stellen.

Eine “ungünstige Kameraausrichtung, das Einbringen der Geräte in ungeeignete oder von Dritten genutzte Räume, das unvorbereitete optische und/oder akustische Auftreten Dritter in der Videokonferenz und ähnliche “Pannen” sind zu vermeiden”.

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) kann die rechtliche Grundlage für die Nutzung eines Videokonferenzdienstes neben dem “berechtigten Interesse” auch die informierte und freiwillige Einwilligung umfassen.

Die DSK stellt jedoch fest, dass die freiwillige Einwilligung “oft zweifelhaft” ist, insbesondere im beruflichen oder schulischen Kontext.

Dies gilt insbesondere dann, wenn wesentliche Informationen “nur in einer Videokonferenz übermittelt werden”.

Wer eine Videokonferenz durchführen will, muss dem Papier zufolge in der Regel zuerst eine Videokonferenz durchführen.

Share.

Leave A Reply